スキップしてメイン コンテンツに移動

「ドイツ連邦議会のスパウェアによる通信傍受合法化法案の可決と連邦憲法裁判所の動き」(その1)

 

 筆者はさる7月17日付けの Socially Aware blog「German Parliament Enacts Wide-ranging Surveillance Powers Allowing End User Devices to Be Hacked by Authorities」で、ドイツ連邦議会が刑事訴訟法上で予告なしに容疑者間の電子通信内容のスパイウェアによる傍受やデバイスのメモリーの捜査を可能とする法案を可決したというブログ記事を読んだ。

 筆者としては、まずこの問題は単に刑事訴訟法といった手続法上の問題にとどまらず、ドイツ憲法にあたる「連邦共和国基本法(Grundgesetz für die Bundesrepublik Deutschland:GG)」違反の問題等をどう考えるかという疑問が湧いた。 

 米国の各ローファームの解説(注1)は、おおむね法案の概要は解説しているものの、(1)関係条文の具体的な規定内容、(2)連邦議会での与野党等各党派の意見、(3)ドイツ国内の人権擁護団体の見解等は見いだせなかった。 (注1-2)

 したがって、筆者は上記疑問点につき独自に関係資料の調査を行い、概括的な内容ではあるが、今回のブログであえて紹介することとした。 

 取りまとめにあたり、まず今回の立法措置の前提となるドイツの連邦刑事庁(Bundeskriminalamt:BKA)や州刑事庁(Landeskriminalamt:LKA)等の捜査機関のスパウェア使用と憲法問題の議論は、2011年10月にドイツの国際的ハッカー集団(Chaos Computer Club:CCC)の告発に始まったことに関し、情報を整理した。 

 そこで本ブログでは、まず(1)CCCや弁護士などが指摘したドイツ主要州のスパイウェアの利用実態についての事実関係の整理、(2)セキュリティ・ソフトハウスであるSophosが提供するトロイの木馬(R2D2)の情報サイト、(3)ドイツで問題となった「いわゆる合法的とされる通信傍受源(Quellen-TKÜ)」 (注1-3)や「オンライン捜査(Online-Durchsuchung)」問題につき、問題点を整理した。これらの問題に関し、わが国ではまともな解説が皆無に近いにもかかわらず、その必要性はきわめて重要性をもってわが国の法執行機関等では秘密裡に検討されているであろう。

  わが国では、いわゆる立法論ではなく、事実関係として捜査現場のニーズが優先する「GPS捜査の合法性」の最高裁判決(注2)でも見られるとおり、仮にわが国でドイツの州刑事庁のようなことが生じた時に、だれがどのように告発することになろうか。フォレンジック捜査の重要性を先取りした議論に寄与することが本ブログの第一目的である。 

 なお、この問題を取り上げるうえで約職員数5,500人以上をかかえる「ドイツ連邦刑事庁(BKA)」の権限、機能の正確な理解がポイントとなる。しかし、わが国では、BKAの詳しい解説は皆無であるし、さらにEU委員会内におけるForensic Science, Criminal Scienceの中心的研究機能を果たしていることを解説したものはない。

 この問題だけでもかなりの大部なものとなるため、別途のブログで取りまとめることとする。 

 今回のブログは3回に分けて掲載する。 

1.ドイツの州刑事庁(LKA)等捜査機関のオンライン捜査やスパウェア使用と連邦憲法裁判所の対応 

 2008年2月27日、連邦憲法裁判所(Bundesverfassungsgericht)は、ノルトライン・ヴェストファーレン州(Nordrhein‐Westfale)は連邦憲法違反を犯しており、'遠隔捜査'(オンライン捜査:Online-Durchsuchung:nline search/online surveillance)は非常に厳しい条件下でのみ許可されると判示した。 

(1) 2011年10月にドイツの国際的ハッカー集団(CCC)の告発にはじまり、市民の厳しい追及もあり、メデイア、人権擁護NPO等を中心とする事実関係の調査が行われた。この事件の経緯を整理する。 

 欧州の人権擁護NPOが発行するStatewatch Journal volume 21 no 4, March 2012Analysis:「State Trojans: Germany exports “spyware with a badge”」(全7頁)を以下、仮訳する。 

 ドイツの連邦や州警察は、市民のインターネット活動を監視するソフトウェアの使用が、法律で許可されている範囲以上で行っている。また、警察との国境を越えた協力の非公式なワーキンググループ会議も開催している。 

 2005年以来、ドイツの州警察は、捜査目的で個人や団体等を遠隔型スパイを行うため、ソフトウェア(マルウェアやトロイの木馬)をコンピュータにインストールしている。 これらの活動のための法的根拠基盤は存在せず、前述のとおり、2008年2月27日、連邦憲法裁判所(Bundesverfassungsgericht:以下”BVerfG”という)は、'遠隔捜査'(オンライン捜査)は非常に厳しい条件下でのみ許可されると判示した。 

 ドイツでは「デジタル・プライバシー」の保護に強い市民運動があり、その事実の開示が民間のコンピュータや携帯電話を傍受する国家情報機関とセキュリティ機関に関する熱い論議を巻き起こした。 

 2011年10月、ドイツの世界的ハッカー団体カオス・コンピュータ・クラブ(Chaos Computer Club:CCC)は、彼らがコンピュータ(付録参照)にインストールされたトロイの木馬を見つけたとする調査結果を公表した。(本記事に詳細な付録参照資料としてCCC報告が添付されているが、本ブログでは内容訳は略す) 

 CCCによると、このマルウェアはスパイ活動を行うことができた。すなわち、CCCの分析によれば、このトロイの木馬は①キーストロークをログ記録するだけでなく、②スクリーンショットを撮ったり、②Skypeの会話内容を録音したり、③ウェブカメラやコンピュータマイクを起動することさえでき、人の家内で私的な出来事を調べることもできた。また、このマルウェアは対象者のコンピュータに「バックドア」を開き、ソフトウェアをインストールすることもできるとものとして構築されていた。 

 CCCは、ヘッセン州の民間ソフト開発会社DigiTaskによって作成されたこのソフトウェアは、内容が悪意にみちて設計されており、かつこのソフトウェアは第三者も使用できるというものであったと述べた。 

 CCCの情報開示に続いて、バイエルン州は、トロイの木馬の存在を認め、他の州もすぐに開示を続けた。当時の連邦法務大臣ザビーネ・ロイトホイサー=シュナレンベルガー(Sabine Leutheusser-Schnarrenberger(自由民主党:FDP)は調査を開始した。またドイツのメディア”Deutsche Welle”は、州における既知のトロイの木馬の使用状況について報告を行った。 

 州の内務大臣等は、バーデン=ヴュルテンベルク州(Baden‐Württemberg)、ブランデンブルク州(Brandenburg,)、シュレースヴィヒ=ホルシュタイン州(Schleswig‐Holstein )、ニーダーザクセン州(Land Niedersachsen)が、地方警察が法律の制限内でソフトウェアを使用していたと述べた。 

 公共放送局NDRによると、ニーダーザクセン州では、同ソフトウェアは2年間使用されていたと報じた。 

 ブランデンブルク州の捜査当局は、デイリー・ベルリン・モルゲンポスト紙に対し、使用スパイウェアを1つであるが、引き続き調査を行っていると述べた。バデッシュ・ツアィツング紙はバーデン=ヴュルテンベルク州は個別事案においてこのようなソフトを使っていると報じた。

  ノルトライン・ヴェストファーレン広域州西部地区の内務担当大臣は、2つの事例でソフトウェアを使用したが、両者とも裁判官の承認の得ていると述べ、ニュース通信社DPAによると、これら2件とも重大な麻薬犯罪事件であると報じた。 

 バイエルン州南部地区の当局者は、自州の捜査機関が2009年以降スパイウェアプログラムを使用していると述べた。これら4つの州すべてが同じソフトウェアを使用していたかどうかは不明である。 

 連邦刑事庁(BKA)の長官ヨルグ・ツイカー(JörgZiercke)は素早く地方警察の刑事警察がこのプログラムの使用を断念したと述べた。 

 ツイカーは初めは何も言わなかったが、連邦議会左派党(DieLinke)からの質問を受けて、バーデン・ヴュルテンベルク州とバイエルン州の警察官だけでなくという、ベルギー、オランダ、スイスが参加するDigiTaskソフトウェアユーザーのための非公式のワーキンググループが活動していることが明らかとなった。

 このワーキンググループは、最初は「DigiTask Userグループ」と呼ばれて3年間活動していた。それは後に「リモート・フォレンジック・ソフトウェア・ユーザー」に改名した。

 同グループは年に2回会合し、議会議員はその存在を認識していなかった。 

 連邦議会が、この非公式の国際作業部会の存在を知る前に、DigiTaskはドイツのメディアに対し、このソフトウェアが他国に売却されたと語った。 

 オランダの自由党(D66)は法務大臣にソフトウェアがオランダで使用されているかどうかを尋ねたが、その回答は保留中である。 

 刑事訴訟事件でも、これらのソフトの運用に関する情報が公開されている。

 スイスの2人の左翼活動家が、ニュールンベルクのサーバーを使って暗号化していたため、スイス警察とニュールンベルグ警察がハードウェアとソフトウェアを使用してサーバーを経由するすべての通信をキャプチャする「ディープ・パケット・インスペクション(deep packet inspection)」(注3)を行っていたことが明らかになった裁判事件がある。 

 法的ファイルとして、スイスとバイエルンの警察の間でDigiTaskソフトウェアを使用し、誰が履行し費用を分担するかについて議論していた。しかし、このような非公式の作業部会が国際的な共同作業の調整にも使用されているかどうかは不明である。 

(2) Naked Security「ドイツの 'Government' R2D2 Trojan FAQ 」解説

 同サイトは、セキュリティソフトハウスであるSophosが提供する情報解説サイトである。CCCの解析を補完する意味でも参考となる内容なので、参考までに概要を仮訳する。 2011年10月10日に掲載されたものである。  

① これはあなたが探す”R2D2”ではない、何が起きたのか? 

 Skypeインターネット通話を監視し、感染したコンピュータのオンライン活動を監視し、キーストロークを記録し、ネット経由でその機能を更新する「トロイの木馬」が発見された。。  

ほとんどのウイルス対策ベンダーが「R2D2」と呼んでいるが、「0zapftis」または「Bundestrojaner」とも呼ばれるこのトロイの木馬は、世界的に有名なハッカー集団Chaos Computer Club(CCC)によって発表された。  

② なぜこのトロイの木馬はR2D2と呼ばれるのか? 

この名前は、トロイの木馬のコードの中に埋め込まれた文字列から来ている。  

 C3PO-r2d2-POE  

③ CCCはどこからそのマルウェアを取得したのか? 

 ドイツの弁護士Patrick Schladt(パトリック・シュラド)は、メディアに対し、自身のクライアントのコンピュータのハードディスクに法執行機関がインストールしたトロイの木馬が見つかったと伝えた。 

Patrick Schladt

このマルウェアは、ミュンヘン空港の通関管理を通過する際に、コンピュータにインストールされたとされたと述べた。シュラドは、医薬品に関連しドイツの法律を適用される責任から顧客を守っていた。  

 容疑者とされた人物と同社の法律チームがデジタル証拠を調べたところ、彼らはトロイの木馬が存在することを示唆する証拠を見つけ、そのハードディスクは シュラドのクライアントの許可を得てCCCと共有した。  

  CCCはフォレンジック・ソフトウェアを使用して、削除されたファイルをハードドライブから復元し、R2D2トロイの木馬を発見した。 

 ④ なぜこのトロイの木馬はニュース価値があるのか? 

 CCCは、マルウェアがBKAやLKAなどのドイツの法執行当局のために作成され、使用されていることを示している。さらに、シュラドは、税関部門がマルウェアのインストールにも関与していたと主張する。  

⑤ BKAとLKAはどのような機関をさすのか? 

 連邦刑事庁(BKA)はドイツの連邦犯罪捜査機関であり、また州捜査局として働く16の州刑事局(LKAs:Landeskriminalamt)が全国にある。 

 BKAは、CCCによって明らかにされたファイルは自身はそれらには関与していないと述べた。もちろん、BKAが他の場合にスパイウェアを使用していないことは言うまでもない。今回の場合、マルウェアへの接続を正式に拒否しているというだけである。

 連邦政府の広報担当者Steffen Seibertは、BKAの関与を否定するためにTwitterを使用した。  

 一方、この問題につきLKA部門はコメントしていない。スパイウェアを使用する警察は議論の余地があると思う 。

  そうです。 あなたは、プライバシー擁護者が、警察の捜査官がユーザの認識なしにコンピュータの活動を偵察できるという考えのもとに、なぜこのような神経過敏になるのかを想像することができよう。  

************************************************************

(注1) 次の米国ローファーム・サイトが本件を取り上げている。

①2017.7.17 Socially Aware blog「German Parliament Enacts Wide-ranging Surveillance Powers Allowing End User Devices to Be Hacked by Authorities」 

② 

2017.6.26 Morrioson Foester「German Parliament Enacts Wide-ranging Surveillance Powers Allowing End User Devices to Be Hacked by Authorities」 

③2017.6.27 WSWS「German parliament agrees to massive expansion of digital surveillance」 

(注1-2) 筆者は、本ブログの取りまとめに当たりEUの関係機関の検討状況も合わせて調査した。その中で欧州議会事務局・域内政策局・政策部(Directorate-General for Internal Policies of the Union:Policy Department)が、「市民の自由・司法・内務委員会(LIBE委員会)」の要請を受けて取りまとめた研究報告(2017年4月6日公表)「法執行機関によるハッキングの法的枠組み:実践された内容の特定、評価、比較(Legal Frameworks for Haching by Law enforcement : Identification, Evaluation and Comparison of Practices)」を見出した。

 その要旨および本文を斜め読みした結果を踏まえ、仮訳すると次のとおりとなる。 

「この研究(LIBE委員会の要請により市民権、憲法情問題にかかる欧州議会・域内政策局がまとめたもので、法執行によるハッキング技術利用に関する確固たる政策提言を行うとの観点から取り組んだ。これら提言は、EU加盟6か国(フランス、ドイツ、イタリア、オランダ、ポーランド、英国)および非加盟3ヵ国(オーストラリア、イスラエル、米国)における法執行機関におけるハッキングに関する法的枠組みの研究から導きだしたもので、同分野における執行機関の市民権への介入に関し、トピックスとEUの法的根拠につき国際およびEUレベルでの討議結果との統合を踏まえたものである。」 

 いずれにしても、前記報告は全142頁ものであり、時間と手間はかかるが、わが国の関係者としては、正確な分析は必須のテーマと内容であり、改めて仮訳作業を試みたい。 

 なお、域内政策局の主な任務は次のとおりである。

① 主に17の委員会と1つの暫定委員会の事務局を設けることにより、内部政策分野における議会委員会の立法および非立法活動の円滑な運営を確保する。

② 主に委員長の会議を通じて議会の立法活動を調整する。

③ 委員会委員、特に委員長と報告者を任務の遂行に支える。

④ 委員会、その他の議会機関、大統領府に、内部政策の分野における議会の活動のすべての側面に関する説明、背景記録、長期調査を提供する。

⑤ 委員会および委員会との緊密な協力の下に委員会が作業プログラムを開発するのを支援する。

⑥ 議会でのより良い法律作成に関連するすべての活動の促進と調整。

(注1-3) ”Quellen-TKÜ”とは正式にいうと”Quellen-Telekommunikationsüberwachung”である。英語に訳すと「合法的傍受(lawful interception)源」ということになる。(オンライン独英辞書dict.cc参照) 

(注2)  詳しくは、平成29年3月15日 最高裁判所大法廷 「窃盗,建造物侵入,傷害被告事件 」判決を参照されたい。

また同判決の解説例として次のものが閲覧可である。しかし、将来的課題として本ブログで取り上げた犯罪捜査とオンライン捜査やQuellen-TKÜ問題までは言及していない。最近筆者の手元にとどいた「法とコンピュータNo.35《特集 人工知能が社会にもたらすもの》」(学会誌)を読むにつれ、学会レベルで取り上げるテーマなのか。

①2017.3.19 はびきの未来法律事務所「GPS捜査を違法とした最高裁判例(最高裁平成29年3月15日判決)

② NPO Institute of Digital Forensicレポート「第457号コラム「『GPS捜査』最高裁判決とその影響の検討」

③ TKC ローライブラリー2017年6月2日掲載GPS 捜査が憲法 35 条の保障する権利を侵害する強制処分とされた事例」 

(注3) ディープ・パケット・インスペクション(Deep Packet Inspection、DPI)はコンピュータネットワークのパケットフィルタリングの一種で、インスペクションポイントをパケットが通過する際にパケットのデータ部(と場合によってはヘッダ部)を検査することをいう。プロトコルに準拠しているかとか、コンピュータウイルスではないか、スパムではないか、侵入ではないか、あるいは何らかの基準に照らしてそのパケットを通過させるかを判断したり、それとも別の宛先に転送するかを判断したり、統計情報を収集したりといった目的で行われる。(Wikipediaから抜粋)  

**************************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...